На очереди подзаконные акты, которые определят содержание мер защиты, которые должны принять владельцы объектов КИИ. Но познакомиться с проблематикой и начать подготовку к выполнению норм ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» владельцам объектов КИИ необходимо уже сейчас. Андрей Янкин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» подготовил некоторые разъяснения и рекомендации.
Объекты КИИ
Объекты КИИ — это информационные системы, сети связи и АСУ ТП, функционирующие на предприятиях ключевых отраслей экономики страны и в государственных учреждениях. Владельцам КИИ необходимо принимать организационные и технические меры защиты объектов КИИ, в том числе от кибератак, и встраиваться в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Системы защиты объектов КИИ должны будут интегрироваться в ГосСОПКА, осуществлять мониторинг атак и оперативно передавать информацию о них.
На кого распространяется действие закона
В законе выделены следующие отрасли:
- здравоохранение;
- наука;
- транспорт;
- связь (отрасль попадает в перечень, поскольку обеспечивает связь для объектов КИИ в других отраслях);
- энергетика;
- финансовая отрасль (банки и не только);
- ТЭК;
- атомная энергетика;
- оборонная промышленность;
- ракетно-космическая отрасль;
- горнодобывающая промышленность;
- металлургическая промышленность;
- химическая промышленность.
Регуляторы и подзаконные акты
В течении 6–9 месяцев регуляторы должны выпустить подзаконные акты. Регуляторы в данной сфере определяются Президентом РФ, но едва ли можно сомневаться, что ими станут те же структуры, которые сегодня курируют вопросы безопасности.
Правительство РФ должно выпустить постановление, определяющее порядок отнесения объектов к КИИ, порядок и сроки категорирования объектов к КИИ.
ФСТЭК РФ должна определить требования к мерам защиты. Она же будет вести реестр объектов КИИ по всей стране, осуществлять государственный контроль, проводить проверки.
ФСБ РФ отвечает за систему ГосСОПКА и, скорее всего, будет определять требования к шифрованию данных объектов КИИ, а также осуществлять оценку безопасности КИИ. Поскольку в принятом пакете законопроектов содержатся поправки к ФЗ «О государственной тайне», от ФСБ ожидается перечень сведений о защите КИИ, подпадающих под соответствующий гриф.
ЦБ РФ будет совместно с ФСТЭК формировать и согласовывать требования к защите объектов КИИ в финансовом секторе.
Минкомсвязь России будет определять требования к телекомам. Как минимум, следует ожидать требования по внедрению на сетях связи средств обнаружения атак.
Ответственность
В УК РФ внесены поправки, устанавливающие очень жесткие наказания не только для атакующих, но и для лиц, ответственных за защиту КИИ. Если атака повлекла тяжкие последствия (что весьма вероятно в случае КИИ), ответственные лица могут получить до 10 лет лишения свободы.
Материалы
С выходом подзаконных актов мы будем публиковать дополнительные материалы и разъяснения.